In the past few months, as ransomware and hackers continue to make headlines, we are hearing more and more questions about security protocols for remote access solutions, along with questions about VPN (Virtual Private Network) vulnerabilities and RDP (Remote Desktop Protocol). In some cases, we’ve heard that people may even compare RDP and its inherent risk with Splashtop’s solutions.
Notre responsable marketing, Michelle Burrows, s'est entretenue avec Phil Sheu, cofondateur et directeur technique de Splashtop, ainsi qu'avec Jerry Hsieh, directeur principal de la sécurité et de la conformité de Splashtop, pour voir si les inquiétudes suscitées par RDP sont justifiées et pour comparer RDP aux solutions Splashtop.
Michelle: I’ve read a lot lately about the risk in using RDP, including this recent article which talked through all the reasons that RDP isn’t secure. Why do you also believe that RDP is not the right choice for security-minded organizations?
Jerry: Before we talk about why RDP poses a threat to companies and businesses who use it, let’s first talk about what it is and why it exists. RDP is an older technology that was originally designed for IT staff to access the servers without having to physically go into the server room. It was created to solve a very specific problem – the server room is usually kept super cold, and it is also noisy as it holds a lot of equipment. It is easy to understand why IT wouldn’t want to go into that room very often and not to mention to work in it. Along comes RDP enabling IT staff the ability to launch RDP sessions to work on servers remotely, no travel to a cold and noisy server room required.
Au fil du temps, le personnel informatique s'est rendu compte que le RDP n'était pas particulièrement sûr, et certains ont commencé à ajouter d'autres paramètres de sécurité tels que des listes de contrôle d'accès, des stratégies de pare-feu ou une passerelle VPN pour ajouter une autre couche de sécurité si le RDP devait être accessible en dehors du réseau de l'entreprise. J'ai parlé avec des équipes qui pensent alors que ce système est sûr, mais une mauvaise configuration du système conduit souvent à sa compromission.
Et, comme nous en avons parlé il y a quelques semaines dans cette interview, les VPN ne sont pas non plus sécurisés pour de nombreuses raisons. Ce que je vois alors, c'est que les équipes, croyant ajouter une autre pièce à leur fondation de sécurité, combinent plutôt deux technologies qui sont plus anciennes et vulnérables. C'est comme si vous mettiez une clôture autour de votre maison et que vous laissiez la clôture et la porte d'entrée déverrouillées et ouvertes. Ni la clôture ni la porte ne protégeront les biens de la maison si elles sont toutes deux laissées ouvertes. Les fonctions de sécurité du VPN ne compensent pas les vulnérabilités du RDP.
Michelle: As I’m listening to you and all the reasons not to use RDP or a VPN, I have to wonder, why do teams continue to use these kinds of technology?
Jerry: The biggest reason that IT staff use RDP and RDP plus a VPN is because it is sort of free and it is easy. It is built in Microsoft, and it is just sitting there for you to use as part of Windows utility. This means IT teams don’t need to purchase anything special – it comes with your Microsoft license, although RDS (Remote Desktop Services) requires additional licenses.
Michelle: Phil, anything to add on RDP and its vulnerabilities?
Phil: RDP has indeed been around a long time – even before HTTPS and TLS became the gold standard for securing Internet traffic. RDP was designed to work over a particular port and will respond to anyone who “pings” it over the port. A computer put on the Internet with this port open and RDP active can start seeing attacks in as short as 90 seconds. Attackers are incredibly adept at looking for and finding vulnerable RDP endpoints. By gaining access into a RDP endpoint, attackers can then pivot to access the corporate network which the computer is connected to.
Michelle: Tell me me how Splashtop is different from RDP.
Phil: First, we architected Splashtop to be cloud-native and use industry-standard security protocols like HTTPS and TLS. Data is passed over port 443 just like all standard encrypted web traffic today, and connections are facilitated by our relay servers worldwide. For our customers, all of that means no special ports are needed, and firewalls do not need to allow special exceptions. Computers using Splashtop do not need to be left exposed on the Internet or DMZ for bad actors to easily scan and attack.
Michelle: Does that mean that Splashtop has its own proprietary technology?
Phil: Yes, we have our own proprietary technology. There is very little in common between Splashtop’s and RDP’s architectures for remote access. I can think of companies who have chosen to build on top of RDP, but we decided to build something unique for the sake of security and user experience.
Au-delà de la sécurité, cette approche permet également à nos clients des services informatiques et d'assistance d'accéder à un grand nombre d'appareils qui ne prennent pas en charge le protocole RDP (Mac, iOS, Android et même certaines versions de Windows), tout en conservant les mêmes performances élevées et la même convivialité.
Pour conclure sur le RDP, je vais pousser un peu plus loin l'analogie faite par Jerry sur le fait de laisser votre porte ouverte aux voleurs. Disons que vous avez une maison dans la rue, que la porte est ouverte et que tous vos biens sont exposés. Bien que tout le voisinage ne sache pas que votre porte est ouverte, toute personne passant par là peut facilement dire que personne n'est à la maison et que votre porte est ouverte. C'est comme le RDP. Maintenant, prenez cette même maison et mettez-la derrière une communauté fermée. Mais, laissez la porte grande ouverte et le portail ouvert. Maintenant, c'est comme RDP, plus un VPN.
Prenons cette analogie pour comparer le fonctionnement de Splashtop. Prenez cette même maison et mettez-la dans une communauté fermée avec un garde. Maintenant, fermez la porte et verrouillez le portail. Le garde vérifie les autorisations de visite. Personne en dehors du portail ne peut voir votre maison et ses biens. En fait, la maison peut même ne pas être visible de derrière le portail. Et personne ne peut voir votre maison, ses biens, ni savoir si vous êtes chez vous. Vous pouvez inviter une personne en particulier à entrer, mais vous n'avez pas d'invitation ouverte pour que quelqu'un d'autre puisse entrer. C'est ainsi que Splashtop fonctionne à un haut niveau.
Michelle: Thank you for the analogies and taking the time to walk through this. Can you direct me to where our blog readers can learn more about Splashtop’s security?
Phil: I would love to share some security resources with our customers and future customers. We’ve created a section on our website that is dedicated to security and the questions that people may have. You can access it here: https://www.splashtop.com/security
